我试图通过ADS域中的GPO启用证书自动注册和凭证漫游(DC是Windows Server 2008 R2)。 我可以以新创build的用户(在成员服务器上,Windows Server 2012)交互式login,并将策略应用于该用户。 但是,如果创build的新用户作为服务标识login,则不会应用GPO,因为我可以通过检查其registry进行确认,该registry在服务运行时加载到HKU\<SID>下。
我开始怀疑GPO不适用于devise服务login,但我不能确认或否认这一点。 这是真的,如果没有,我怎么能诊断为什么GPO不适用于服务标识用户?
对,是真的。
用户策略设置的规范表明
用户策略设置指定交互式login用户的function和行为。
如果您没有以交互方式login,则超出范围。
此外:
当定期刷新计时器周期性地刷新组策略时,文档说 :
定时触发此计时器,以检查计算机或交互式login计算机的每个用户的更新策略[…]